En esta página, se proporcionan instrucciones para configurar políticas de red de tráfico dentro del proyecto en Google Distributed Cloud (GDC) aislado.
Las políticas de red del proyecto definen reglas de entrada o salida. Puedes definir políticas que permitan la comunicación dentro de los proyectos, entre proyectos y con direcciones IP externas.
Si se necesita la aplicación de políticas de tráfico dentro de un solo proyecto en una sola zona, consulta Crea políticas de red a nivel de la carga de trabajo.
Antes de comenzar
Para configurar políticas de red de tráfico dentro del proyecto, debes tener lo siguiente:
- Los roles de identidad y acceso necesarios Para obtener más información, consulta Cómo preparar roles y acceso predefinidos.
- Un proyecto existente Para obtener más información, consulta Cómo crear un proyecto.
Crea una política de tráfico intraproyecto
Para el tráfico dentro de un proyecto, GDC aplica una política de red del proyecto predefinida, la política intraproyecto, a cada proyecto de forma predeterminada. De forma predeterminada, las cargas de trabajo en un espacio de nombres del proyecto pueden comunicarse entre sí sin exponer nada a los recursos externos.
De forma predeterminada, no hay una política de salida, por lo que se permite el tráfico saliente para todo el tráfico dentro del proyecto. Sin embargo, cuando estableces una sola política de salida, solo se permite el tráfico que especifica la política.
Política de red de tráfico de entrada dentro del proyecto
Cuando creas un proyecto, también creas de forma implícita un recurso ProjectNetworkPolicy base predeterminado que permite la comunicación dentro del proyecto. Esta política permite el tráfico entrante de otras cargas de trabajo en el mismo proyecto.
Puedes quitar la política predeterminada, pero ten en cuenta que esta acción deniega la comunicación dentro del proyecto para todos los servicios y cargas de trabajo del proyecto.
Crea una política de red global de tráfico de salida dentro del proyecto
Especifica una política global para aplicar esta política de red del proyecto a todas las zonas del universo. Para obtener más información sobre los recursos globales en un universo de GDC, consulta la descripción general de varias zonas.
Cuando inhabilitas la prevención de robo de datos y aplicas una política de salida de ProjectNetworkPolicy al proyecto, como impedir el acceso a un recurso externo, usa la siguiente política obligatoria para permitir el tráfico saliente dentro del proyecto:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-intra-project-outbound-traffic
spec:
policyType: Egress
egress:
- to:
- projectSelector:
projects:
matchNames:
- PROJECT
EOF
Reemplaza lo siguiente:
GLOBAL_API_SERVER: Es la ruta de acceso de kubeconfig del servidor de la API global. Para obtener más información, consulta Servidores de API globales y zonales. Si aún no generaste un archivo kubeconfig para el servidor de la API, consulta Accede para obtener más detalles.PROJECT: Es el nombre del proyecto en el que deseas permitir el tráfico saliente interno.